具体漏洞详情我就不多说了，大家可以看freebuf的介绍，链接在下方：

http://www.freebuf.com/vuls/37643.html

看了网上公布的一大堆exp，发现都不是很好用，就自己写了一个

昨天，应该是今天，盘古团队（@panguteam）发布了国人的越狱工具（可以到盘古官网下载）。

在盘古的官网（http://pangu.io）的关于里是这样写的：

我们是一群从事多年信息安全技术工作的老家伙，有喜欢玩越野的，有喜欢泡夜店的，有喜欢动漫的，当然还有技术宅。 自从iPhone第一代发布，国外黑客就开始研究iOS系统的越狱，直到iOS7系统可以说越狱的技术难度越来越大。 其实越狱最初的理念是我的设备我做主，就像真正的黑客追求的是互联网的自由精神。 在越狱工具的开发上国外黑客垄断了多年，我们想做的很简单，就是让世界知道中国也有顶尖的技术人才！   最后一句话，“让世界知道中国也有顶尖的技术人才”。我们知道，苹果的越狱从来没有国内的什么事，每次苹果发布新版IOS，我们只能坐等国外大牛发布越狱工具，而这次，国内的越狱团队盘古让我们看到了国人的骄傲。 再看一段介绍：

前言

恶意网站在大家平时网络生活应该不少接触，比如，QQ聊天窗口的安全提示，百度搜索结果的拦截提示，或者是QQ管家、金山毒霸等在你访问某些网站时弹出的访问提示；再或者某某访问什么网站，被骗了多少钱等等。。。

细数这些，我想大家都不陌生，但是具体恶意网站又是怎么一回事，我想估计真正了解的人没多少。

前前后后写了几篇关于恶意网站的文章，整理一下让大家更加的了解恶意网站。

前言

估计搞安全的同学今天早上登陆QQ，打开QQ群消息，被一大堆的弹窗弹的郁闷了，缘于一个QQ群的存储型XSS。

网络尖刀团队的mango同学在昨天发现了这个QQ群的存储XSS，同时也提交了TSRC，结果根据mango同学说法，有人把这个XSS给泄漏了，结果就导致了各个QQ群的弹窗事件了。

刚跟COS读者群的一个自称是外国人的的读者聊完天。问我是不是黑客，然后想学黑客，我居然用我那蹩脚的英语基本跟他聊了半天，各种鼓励。不管是否是真的外国人，瞬间觉得我人生格调变高了，也惊叹cos的粉丝都有外国人了。

其实看到有个外国人发消息给我，第一时间觉得是装的，来社工的，后面聊了下感觉不像是装的，不过也没聊任何感觉像是社工相关的话题，他是不是装的就无所谓，没聊到相关隐私的问题，哈哈（我发完微博发现大家意识都很好，第一想到的就是社工和钓鱼，也可能我听众和关注的都是搞安全的）。

每次开题前总要与大家闲扯下，哈哈。

来北京有一两个礼拜了，现在在公司做的是公司Web漏洞检测引擎的开发工作，安全与开发相结合，自己觉得挺喜欢的。扯多了，做Web漏洞检测引擎的工作，所以自己对于这边多多少少做了一些功课，所以今天来与大家聊聊这方面的话题，如果有不对的观点欢迎大家指出（下面讲到扫描器都是讲Web漏洞扫描器）。

话说最近特别忙，在公司负责漏洞检测引擎的重构，然后又忙着租房子，基本都没写文章，前天本来想写一篇文章，结果断网了，今天请假了一天去找房子，到处跑了一天，回来累死了，不过还是爬起来写篇文章。

来北京一个礼拜了，然后都住在公司给实习生找的宿舍里，跟蘑菇他们住在一起，交流了很多想法，有感而发，所以想着写一篇文章。看到安全与激情，估计很多同学马上就想到了某种用品，不过也怪不得大家，我百度图片一搜索想找张配图，结果你也都是类似的结果。不过这个此安全非彼安全，我想说的是搞安全需要激情。

一个简单的钓鱼

可能有同学有看到我发的微博，我发了一张图片。

据Cnet报道，新加坡南洋理工大学一位名叫Wang Jing的博士生，发现了OAuth和OpenID开源登录工具的“隐蔽重定向”漏洞(Covert Redirect)。

突然间这个漏洞似乎就火了，这几天一直在研究这个漏洞以及各种猥琐的利用。

有段时间没写文章，今天难得有想法在写代码忙碌之际抽时间给大家写篇文章。

这几周下来，OpenSSL、Struts2补丁绕过、IE 0Day。。。似乎一个个大洞不断啊，当安全越来越重要，各种互联网厂商也越来越重视安全的时候，各种SRC就如同雨后春笋般出来了。

估计看过我前面的《寻找初恋，一个黑客的故事》的同学还记得文章里有一个地方直接查询社工库获得QQ密码进入QQ空间的点。记得有好多同学问我啥是社工库，社工库有那么牛吗？今天跟大家聊的就是这个话题，谈谈社工库。

估计OpenSSL的漏洞又让许多同学的社工库添加了不少好东西，一些以前想着法子都破不了的站估计都搞到数据了，具体的就不多说了，来谈谈今天的话题。